新思科技发布《2019年开源安全和风险分析》报告

开源风险管理正在改善，但仍是大多企业的挑战

15年来，全球许多安全、开发和法律团队依靠BlackDuck解决方案（黑鸭）帮助他们管理开源使用带来的风险。黑鸭软件组件分析解决方案和开源审计为企业提供了追踪代码中的开源，降低安全性和许可合规风险，并使用现有的DevOps工具和流程自动实施开源策略。黑鸭软件公司现在隶属新思科技。基于这些真实的数据，新思科技分析和总结出一份报告，为业界提供参考。

美国新思科技公司近日发布了《2019年开源安全和风险分析》（OSSRA）报告。该报告由新思科技网络安全研究中心（CyRC）制作，审查了由黑鸭审计服务团队执行的超过1200个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式，以及不安全的开源组件和许可证冲突的普遍性。

报告显示，现在企业面临着开源应用风险管理的挑战，这些难题在过去几年就已经有苗头了。然而，数据还表明现在已经达到了一个拐点，由于风险意识和商业软件组件分析解决方案成熟度的提高，许多企业提升了其管理开源风险的能力。

新思科技网络安全研究中心首席安全策略师Tim Mackey表示：“开源在现代软件开发和部署中发挥着越来越重要的作用，但要实现其价值，企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战，绝大多数的应用程序包含开源安全漏洞和许可证冲突，但同时也强调这些挑战是可以解决的，因为开源漏洞和许可证冲突的数量与去年相比有所下降。”

2019年OSSRA报告中最值得注意的开源风险趋势包括：

• 开源采用率大幅提升。2018年审计的代码库中96%包含开源组件，每个代码库中平均有298个开源组件，2017年则为257个。
• 开源许可证冲突可能会使知识产权面临风险。68%的代码库包含某种形式的开源许可证冲突，38%的代码库包含没有可识别许可证的开源组件。
• “废弃”组件的使用很常见。85%的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护，也就意味着没有人正在处理其潜在的漏洞。
• 许多组织未能修补或更新其开源组件。2018年黑鸭审计中确定的漏洞的平均年龄是6.6年，略高于2017年 。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库（National Vulnerability Database）显示2018年增加了16500个新漏洞，其明确的修补流程需要扩展以适应增加的披露的漏洞。
• 并非所有的漏洞都相同，但许多企业甚至没有解决那些风险最高的漏洞。超过40%的代码库包含至少一个高风险开源漏洞。

报告显示开源软件的使用本身并不是问题，实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险，可能极具破坏性。虽然风险因素仍然存在，2019年OSSRA报告数据表明，在Equifax数据泄露之后，开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展：

• 企业在管理开源安全漏洞方面正渐入佳境。2018年审计的代码库中有60%包含至少一个漏洞，相比2017年的78%已经改善不少。
• 总体而言，开源许可证合规性也得到了改善。2018年审计的代码库中有68%包含有许可证冲突的组件，2017年则为74%。